等级保护三级-管理类测评
- 格式:docx
- 大小:36.45 KB
- 文档页数:16
下载文档原格式
合集下载
等保测评 3级测评项
等保测评3级测评项
等保测评3级包含以下方面:
1. 安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评。
2. 安全管理测评:包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。
3. 网络结构测评:包括网络结构安全、通讯全过程数据库安全、数据信息安全性、界限安全防护、访问控制、侵入防范、恶意程序防范、安全审计、确保通讯稳定性的设备和路线沉余等层面的测评。
4. 单项工程测评:包括设备和测算安全性、运用和网络信息安全等方面的测评。
5. 安全风险评估:包括安全风险分析、安全脆弱性评估、安全事故风险评估等方面的测评。
6. 应急预案和演练测评:包括应急预案、应急演练和演练评估等方面的测评。
7. 第三方服务满意度测评:包括第三方服务提供商的服务质量、服务态度、服务效率等方面的测评。
8. 其他测评:包括但不限于上述各项的补充测评、专项测评等。
希望以上内容对您有帮助,如果您有其他问题,欢迎向我提问,我会为您提供相应的服务。
等级保护三级管理系统测评
69.
应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
网络安全管理
70.
应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。
访谈,检查。
安全主管,安全管理员,网络管理员,网络漏洞扫描报告,网络安全管理制度,系统外联授权书,网络设备备份配置文件,网络审计日志。
三级管理要求(S3A3G3)
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
岗位设置
1.
应设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人岗位,定义各负责人的职责。
访谈,检查。安全主管,安全管理某方面的负责人,部门、岗位职责文件。
2.
应设立系统管理人员、网络管理人员、安全管理人员岗位,定义各个工作岗位的职责。
3.
应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权。
4.
应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
人员配备
5.
应配备一定数量的系统管理员、网络管理员、安全管理员等。
访谈,检查。安全主管,人员配备要求的相关文档,管理人员名单。
79.
应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补。
80.
应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。
81.
应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定。
应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。
网络安全管理
70.
应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作。
访谈,检查。
安全主管,安全管理员,网络管理员,网络漏洞扫描报告,网络安全管理制度,系统外联授权书,网络设备备份配置文件,网络审计日志。
三级管理要求(S3A3G3)
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
岗位设置
1.
应设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人岗位,定义各负责人的职责。
访谈,检查。安全主管,安全管理某方面的负责人,部门、岗位职责文件。
2.
应设立系统管理人员、网络管理人员、安全管理人员岗位,定义各个工作岗位的职责。
3.
应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权。
4.
应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
人员配备
5.
应配备一定数量的系统管理员、网络管理员、安全管理员等。
访谈,检查。安全主管,人员配备要求的相关文档,管理人员名单。
79.
应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补。
80.
应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。
81.
应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定。
三级等保评测文件资料
信息系统安全等级测评报告模板项目名称:委托单位:测评单位:年月日报告摘要一、测评工作概述概要描述被测信息系统的基本情况(可参考信息系统安全等级保护备案表),包括但不限于:系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。
(见附件:信息系统安全等级保护备案表)描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程,包括投入测评人员与设备情况、完成的具体工作容统计(涉及的测评分类与项目数量,检查的网络互联与安全设备、主机、应用系统、管理文档数量,访谈人员次数)。
二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论(结论为达标、基本达标、不达标)。
三、系统存在的主要问题依据6.3章节的分析结果,列出被测信息系统中存在的主要问题以及可能造成的后果(如,未部署DDos防御措施,易遭受DDos攻击,导致系统无法提供正常服务)。
四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议,是对第七章容的提炼和简要描述。
报告基本信息声明声明是测评单位对于测评报告容以及用途等有关事项做出的约定性述,包含但不限于以下容:本报告中给出的结论仅对目标系统的当时状况有效,当测评工作完成后系统出现任何变更,涉及到的模块(或子系统)都应重新进行测评,本报告不再适用。
本报告中给出的结论不能作为对系统相关产品的测评结论。
本报告结论的有效性建立在用户提供材料的真实性基础上。
在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。
测评单位机构名称年月报告目录1测评项目概述 (1)1.1测评目的 (1)1.2测评依据 (1)1.3测评过程 (1)1.4报告分发围 (2)2被测系统情况 (3)2.1基本信息 (3)2.2业务应用 (4)2.3网络结构 (4)2.4系统构成 (4)2.4.1业务应用软件 (4)2.4.2关键数据类别 (4)2.4.3主机/存储设备 (5)2.4.4网络互联与安全设备 (5)2.4.5安全相关人员 (5)2.4.6安全管理文档 (6)2.5安全环境 (6)3等级测评围与方法 (7)3.1测评指标 (7)3.1.1基本指标 (7)3.1.2附加指标 (9)3.2测评对象 (9)3.2.1选择方法 (9)3.2.2选择结果 (9)3.3测评方法 (11)3.3.1现场测评方法 (11)3.3.2风险分析方法 (11)4等级测评容 (12)4.1物理安全 (12)4.1.1结果记录 (12)4.1.2问题分析 (12)4.1.3单元测评结果 (12)4.2网络安全 (12)4.2.1结果记录 (12)4.2.2问题分析 (14)4.2.3单元测评结果 (14)4.3主机安全 (14)4.3.1结果记录 (14)4.3.2问题分析 (15)4.3.3单元测评结果 (15)4.4应用安全 (15)4.4.1结果记录 (15)4.4.2问题分析 (15)4.4.3单元测评结果 (15)4.5数据安全及备份恢复 (15)4.5.1结果记录 (15)4.5.2问题分析 (15)4.5.3单元测评结果 (15)4.6安全管理制度 (15)4.6.1结果记录 (15)4.6.2问题分析 (16)4.6.3单元测评结果 (16)4.7安全管理机构 (16)4.7.1结果记录 (16)4.7.2问题分析 (16)4.7.3单元测评结果 (16)4.8人员安全管理 (16)4.8.1结果记录 (16)4.8.2问题分析 (16)4.8.3单元测评结果 (16)4.9系统建设管理 (16)4.9.1结果记录 (16)4.9.2问题分析 (17)4.9.3单元测评结果 (17)4.10系统运维管理 (17)4.10.1结果记录 (17)4.10.2问题分析 (17)4.10.3单元测评结果 (17)4.11工具测试 (17)4.11.1结果记录 (17)4.11.2问题分析 (17)5等级测评结果 (17)5.1整体测评 (17)5.1.1安全控制间安全测评 (17)5.1.2层面间安全测评 (18)5.1.3区域间安全测评 (18)5.1.4系统结构安全测评 (18)5.2测评结果 (18)5.3统计图表 (22)6风险分析和评价 (22)6.1安全事件可能性分析 (22)6.2安全事件后果分析 (23)6.3风险分析和评价 (23)7系统安全建设、整改建议 (25)7.1物理安全 (25)7.2网络安全 (25)7.3主机安全 (25)7.4应用安全 (25)7.5数据安全及备份恢复 (25)7.6安全管理制度 (25)7.7安全管理机构 (26)7.8人员安全管理 (26)7.9系统建设管理 (26)7.10系统运维管理 (26)附:信息系统安全等级保护备案表... ...1测评项目概述1.1测评目的描述信息系统的重要性:通过描述信息系统的基本情况,包括运营使用单位的性质,承载的主要业务和系统服务情况,进一步阐明其在国家安全、经济建设、社会生活中的重要程度,受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等。
等保测评3级-技术测评要求
技术测评要求(S3A3G3)等级保护三级技术类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N物理安全物理位置的选择1.机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
(G2 )访谈,检查。
物理安全负责人,机房,办公场地,机房场地设计/ 验收文档。
2.机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
(G3)物理访问控制3.机房出入口应安排专人值守,控制、鉴别和记录进入的人员。
(G2 )访谈,检查。
物理安全负责人,机房值守人员,机房,机房安全管理制度,值守记录,进入机房的登记记录,来访人员进入机房的审批记录。
4.需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。
(G2)等级保护三级技术类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N5.应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域。
(G3)6.重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
(G3 )防盗窃和防破坏7.应将主要设备放置在机房内。
(G2 )访谈,检查。
物理安全负责人,机房维护人员,资产管理员,机房设施,设备管理制度文档,通信线路布线文档,报警设施的安装测试/ 验收报告。
8.应将设备或主要部件进行固定,并设置明显的不易除去的标记。
(G2)9.应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。
(G2 )等级保护三级技术类测评控制点(S3A3G3)类别序号测评内容测评方法结果记录符合情况Y N10.应对介质分类标识,存储在介质库或档案室中。
(G2)11.应利用光、电等技术设置机房防盗报警系统。
(G3)12.应对机房设置监控报警系统。
(G3 )防雷击13.机房建筑应设置避雷装置。
(G2 )访谈,检查。
物理安全负责人,机房维护人员,机房设施(避雷装置,交流电源地线),建筑防雷设计/ 验收文档。
14.应设置防雷保安器,防止感应雷。
等保测评技术方案
一、等级保护测评方案(一)测评范围与方法《基本要求》中对不同等级信息系统的安全功能和措施作出具体要求,信息安全等级测评要根据信息系统的等级从中选取相应等级的安全测评指标,并根据《测评要求》的要求,对信息系统实施安全现状测评。
因此,本次测评将根据信息系统的等级选取相应级别的测评指标。
1.测评指标三级基本指标依据定级结果,甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的3级通用指标类(G3),3级业务信息安全性指标类(S3)和3级业务服务保证类(A3)。
所包括的安全控制指标类型情况具体如下表:系统测评指标统计列表二级基本指标依据定级结果,甲方的安全测评指标应包括《基本要求》第7节“第三级基本要求”中的2级通用指标类(G2),2级业务信息安全性指标类(S2)和2级业务服务保证类(A2)。
所包括的安全控制指标类型情况具体如下表特殊指标无。
(二)测评对象1.测评对象选择方法测评对象包括网络互联与安全设备操作系统、应用软件系统、主机操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档。
选择过程中综合考虑了信息系统的安全保护等级、业务应用特点和对象所在具体设备的重要情况等要素,并兼顾了工作投入与结果产出两者的平衡关系。
2.测评对象选择结果2.1.物理机房测评对象-物理机房列表2.2.网络设备测评对象-网络设备列表3.安全设备测评对象-安全设备列表4.服务器或存储设备测评对象-服务器或存储设备列表5.终端或现场设备测评对象-终端或现场设备列表6.系统管理软件或平台测评对象-系统管理软件或平台列表7.业务应用系统或平台测评对象-业务应用系统或平台列表8.关键数据类型测评对象-关键数据类型列表测评对象-数据类型列表9.安全相关人员测评对象-安全相关人员列表10.安全管理文档测评对象-安全管理文档列表(三)测评方法本次等级测评现场实施过程中将综合采用访谈、检查和测试等测评方法。
1.访谈访谈是指测评人员通过与被测系统有关人员(个人/群体)进行交流、询问等活动,获取证据以证明信息系统安全保护措施是否有效的一类方法。
等级保护测评-完全过程(非常全面)
等级保护测评过程
以三级为例
主题一
1 2 3 4
等级保护测评概述 等级保护测评方法论 等级保护测评内容与方法
等保测评安全措施
等保测评概述
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关 单位委托,按照有关管理规范和技术标准,运用科学的手段和方法, 对处理特定应用的信息系统,采用安全技术测评和安全管理测评方 式,对保护状况进行检测评估,判定受测系统的技术和管理级别与 所定安全等级要求的符合程度,基于符合程度给出是否满足所定安 全等级的结论,针对安全不符合项提出安全整改建议。
等保测评工作流程
等级测评的工作流程,依据《信息系统安全等级保护测评过程指南》,具体内容 参见:等保测评工作流程图
准备阶段
方案编制阶段
现场测评阶段
报告编制阶段
等保实施计划
项目 准备
现状调研
安全管理调研
风险与差距分析
控制风险分析 信息安全 愿景制定
体系规划与建立
管理体系
项目 验收
项目 准备
运维体系 安全技术调研 信息安全总体 框架设计 等保差距分析 高危问题整改 技术体系
0
0 0
0
0 0
11
28 27
16
41 51
5
13 42
4
18 54
5
9 12
4
18 54
16
41 69
合
计
66
73
236 389
等保测评方法
访谈 • 访谈是指测评人员通过与信息系统有关人员(个人/群体)进 行交流、讨论等活动,获取相关证据以表明信息系统安全保护 措施是否有效落实的一种方法。在访谈范围上,应基本覆盖所 有的安全相关人员类型,在数量上可以抽样。 检查 • 检查是指测评人员通过对测评对象进行观察、查验、分析等活 动,获取相关证据以证明信息系统安全保护措施是否有效实施 的一种方法。在检查范围上,应基本覆盖所有的对象种类(设 备、文档、机制等),数量上可以抽样。 测试 • 测试是指测评人员针对测评对象按照预定的方法/工具使其产 生特定的响应,通过查看和分析响应的输出结果,获取证据以 证明信息系统安全保护措施是否得以有效实施的一种方法。在 测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。
以三级为例
主题一
1 2 3 4
等级保护测评概述 等级保护测评方法论 等级保护测评内容与方法
等保测评安全措施
等保测评概述
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关 单位委托,按照有关管理规范和技术标准,运用科学的手段和方法, 对处理特定应用的信息系统,采用安全技术测评和安全管理测评方 式,对保护状况进行检测评估,判定受测系统的技术和管理级别与 所定安全等级要求的符合程度,基于符合程度给出是否满足所定安 全等级的结论,针对安全不符合项提出安全整改建议。
等保测评工作流程
等级测评的工作流程,依据《信息系统安全等级保护测评过程指南》,具体内容 参见:等保测评工作流程图
准备阶段
方案编制阶段
现场测评阶段
报告编制阶段
等保实施计划
项目 准备
现状调研
安全管理调研
风险与差距分析
控制风险分析 信息安全 愿景制定
体系规划与建立
管理体系
项目 验收
项目 准备
运维体系 安全技术调研 信息安全总体 框架设计 等保差距分析 高危问题整改 技术体系
0
0 0
0
0 0
11
28 27
16
41 51
5
13 42
4
18 54
5
9 12
4
18 54
16
41 69
合
计
66
73
236 389
等保测评方法
访谈 • 访谈是指测评人员通过与信息系统有关人员(个人/群体)进 行交流、讨论等活动,获取相关证据以表明信息系统安全保护 措施是否有效落实的一种方法。在访谈范围上,应基本覆盖所 有的安全相关人员类型,在数量上可以抽样。 检查 • 检查是指测评人员通过对测评对象进行观察、查验、分析等活 动,获取相关证据以证明信息系统安全保护措施是否有效实施 的一种方法。在检查范围上,应基本覆盖所有的对象种类(设 备、文档、机制等),数量上可以抽样。 测试 • 测试是指测评人员针对测评对象按照预定的方法/工具使其产 生特定的响应,通过查看和分析响应的输出结果,获取证据以 证明信息系统安全保护措施是否得以有效实施的一种方法。在 测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。
等保三级测评内容详解
等保三级测评内容详解标题:等保三级测评内容详解简介:等保三级测评是指对信息系统等级保护实施的一种评价和测试,是在信息系统等级保护评估的基础上,对实施等级保护的信息系统进行综合评估和测试。
本文将深入探讨等保三级测评的内容,包括测评目标、评估要求、测评方法和总结回顾,以帮助您更全面、深刻地理解等保三级测评。
一、测评目标等保三级测评的目标是评价和测试信息系统在等级保护实施过程中的安全性、稳定性和合规性,以发现系统存在的安全漏洞和隐患,为进一步提升系统等级保护水平提供科学数据支持。
二、评估要求等保三级测评的评估要求主要包括以下几个方面:1. 安全管理要求:评估信息系统是否建立了完备的安全管理机制,包括安全策略、安全组织、安全人员、安全培训等。
2. 安全技术要求:评估信息系统是否采用了先进的安全技术手段,包括身份认证、访问控制、加密技术、漏洞管理等。
3. 安全保障要求:评估信息系统是否实施了全面的安全保障措施,包括物理环境保护、应急响应、安全审计、风险管理等。
三、测评方法等保三级测评的方法主要包括以下几个步骤:1. 需求分析:根据等级保护要求,确定测评对象和测评范围。
2. 数据收集:收集与测评对象相关的信息和数据,包括系统配置信息、安全策略文件、日志记录等。
3. 风险评估:通过风险评估方法,对系统风险进行评估和分类。
4. 安全测试:根据评估要求,进行系统漏洞扫描、渗透测试、密码破解等安全测试活动。
5. 安全评估:评估系统的安全性、稳定性和合规性,分析系统中存在的安全漏洞和隐患。
6. 结果报告:撰写测评结果报告,包括系统安全现状、存在的问题和建议的改进建议。
总结回顾:通过等保三级测评,可以全面评估信息系统的安全性、稳定性和合规性,为进一步提升系统等级保护水平提供科学数据支持。
在评估过程中,需要关注安全管理要求、安全技术要求和安全保障要求,并运用需求分析、数据收集、风险评估、安全测试和安全评估等方法。
通过测评结果报告,可以了解系统的安全现状、存在的问题和改进方案,为系统的持续改进提供指导。
信息安全系统等级保护三级测评控制点概要
6.
重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
防盗窃和防破坏
7.
应将主要设备放置在机房内。
访谈,检查。
物理安全负责人,机房维护人员,资产管理员,机房设施,设备管理制度文档,通信线路布线文档,报警设施的安装测试/验收报告。
8.
应将设备或主要部件进行固定,并设置明显的不易除去的标记。
9.
应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。
审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。
访谈,检查,测试。
安全审计员,服务器操作系统、数据库和重要终端操作系统。
80.
审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。
81.
审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。
22.
应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
防静电
23.
主要设备应采用必要的接地防静电措施。
访谈,检查。
物理安全负责人,机房维护人员,机房设施,防静电设计/验收文档。
24.
机房应采用防静电地板。
温湿度控制
25.
应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
应用系统管理员,应用系统,设计/验收文档,操作规程。
99.
应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。
100.
应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用。
101.
应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。
重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
防盗窃和防破坏
7.
应将主要设备放置在机房内。
访谈,检查。
物理安全负责人,机房维护人员,资产管理员,机房设施,设备管理制度文档,通信线路布线文档,报警设施的安装测试/验收报告。
8.
应将设备或主要部件进行固定,并设置明显的不易除去的标记。
9.
应将通信线缆铺设在隐蔽处,可铺设在地下或管道中。
审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。
访谈,检查,测试。
安全审计员,服务器操作系统、数据库和重要终端操作系统。
80.
审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。
81.
审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。
22.
应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
防静电
23.
主要设备应采用必要的接地防静电措施。
访谈,检查。
物理安全负责人,机房维护人员,机房设施,防静电设计/验收文档。
24.
机房应采用防静电地板。
温湿度控制
25.
应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
应用系统管理员,应用系统,设计/验收文档,操作规程。
99.
应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。
100.
应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用。
101.
应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。
等级保护2.0第三级网络安全防护网络安全管理类安全防护产品功能指
等级保护2.0第三级网络安全防护网络安全管理类安全防护产品功能指标参考
1、安全策略管理(至少具备4 项功能、支持3 种管控策略、支持
3 种告警方式)
用于网络安全设备集中管理和监控的专用系统。
①具备网络安全设备策略集中编辑、策略集中下发、设备集中
升级、设备集中监控、拓扑展示、统计报表等6项功能。
②支持防火墙、入侵防御、病毒防御、VPN 网关、VPN客
户端等5 种管控策略。
③支持邮件告警、日志、短信、第三方应用等4 种告警方式。
2、网络设备管理(至少具备5 项功能、支持8 种报表、支持3
种告警方式)
用于网络设备集中管理和监控的专用系统。
①具备网络设备拓扑管理、可用性监控、网络设备性能监控、
主机服务器监控、数据库监控、中间件监控、业务系统监控、网络配置管理、统计报表等9 项功能。
②支持设备综合性能、链路带宽利用率、CPU 使用率、内存
使用率、设备响应时间、设备ICMP 丢包率、端口进/出流量、端口进/出错包率、端口进/出丢包率、端口进/出单播包速率、非单播包速率、组播包速率、广播包速率、自定义报表等14 种报表。
③支持邮件、日志、声音、短信、颜色等5 种告警方式。
三级等保每年测评测评要求
三级等保每年测评测评要求
根据国家信息安全等级保护管理办法,三级等保每年测评的要求如下:
1. 安全风险评估:评估系统或网络的安全风险,包括可能出现的威胁和漏洞。
2. 安全技术配置评估:评估系统或网络的安全技术配置情况,包括防火墙、入侵检测系统、反病毒系统等各种安全设备的部署和配置是否符合要求。
3. 安全管理制度评估:评估信息安全管理制度的建立与执行情况,包括安全策略、安全培训、安全管理人员的配置等。
4. 安全事件响应评估:评估系统或网络的安全事件响应能力,包括事件的监测、分析、处理与处置能力。
5. 安全加固评估:评估系统或网络的安全加固措施,包括系统补丁管理、权限控制、审计与监控等。
6. 安全防护管理评估:评估系统或网络的外部攻击和内部攻击的防护能力,包括防御外部攻击的安全设备、内部员工的安全意识培训等。
以上是三级等保每年测评的基本要求,具体的评估标准和流程可能会因地区和行业的不同而有所调整。
企业在完成测评后需要向相关部门进行报告和备案。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
33.
应严格规范人员录用过程,对被录用人的身份、背景、 专业资格和资质等进行审查,对其所具有的技术技能 进行考核。
34.
应签署保密协议。
35.
应从内部人员中选拔从事关键岗位的人员,并签署岗 位安全协议。
人员 离岗
36.
应严格规范人员离岗过程,及时终止离岗员工的所有 访问权限。
访谈,检查。安全主管,人事工作人员, 安全处理记录,保密承诺文档。
访谈,检查。安全主管,安全管理人员, 会议文件,会议记录,外联单位说明文 档。
、
13.
应加强与兄弟单位、公安机关、电信公司的合作与沟 通。
14.
应加强与供应商、业界专家、专业的安全公司、安全 组织的合作与沟通。
15.
应建立外联单位联系列表,包括外联单位名称、合作 内容、联系人和联系方式等信息。
16.
31.
应定期或不定期对安全管理制度进行检查和审定,对
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
存在不足或需要改进的安全管理制度进行修订。
人员
安全
管理
人员
录用
32.
应指定或授权专门的部门或人员负责人员录用。
访谈,检查。人事负责人,人事工作人 员,人员录用要求管理文档, 人员审查 文档或记录,考核文档 或记录,保密 协议。
10.
应定期审查审批事项, 及时更新需授权和审批的项目、
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
审批部门和审批人等信息。
11.
应记录审批过程并保存审批文档。
沟通 和合 作
12.
应加强各类管理人员之间、组织内部机构之间以及信 息安全职能部门内部的合作与沟通,定期或不定期召 开协调会议,共同协作处理信息安全问题。
19.
应制定安全检查表格实施安全检查,汇总安全检查数 据,形成安全检查报告, 并对安全检查结果进行通报。
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
20.
应制定安全审核和安全检查制度规范安全审核和安全 检查工作,定期按照程序进行安全审核和安全检查活 动。
2.
应设立系统管理人员、网络管理人员、安全管理人员岗 位,定义各个工作岗位的职 责。
3.
应成立指导和管理信息安全工作的委员会或领导小 组,其最高领导由单位主管领导委任或授权。
面的负责人,部门、冈位职责乂件。
4.
应制定文件明确安全管理机构各个部门和岗位的职 责、分工和技能要求。
人员 配备
5.
应配备一定数量的系统管理员、网络管理员、安全管 理员等。
策性文件和女全策略文件,女全官理制 度清单,操作规程。
24.
应形成由安全策略、管理制度、操作规程等构成的全 面的信息安全管理制度体系。
制定 和发 布
25.
应指定或授权专门的部门或人员负责安全管理制度的 制定。
访谈,检查。安全主管,制度制定和发 布要求管理文档,评审记录,安全管理 制度。
26.
安全管理制度应具有统一的格式,并进行版本控制。
访谈,检查。安全主管,人员配备要求 的相关文档,管理人员名单。
6.
应配备专职安全管理员,不可兼任。
7.
关键事务岗位应配备多人共同管理。
授权 和审 批
8.
应根据各个部门和岗位的职责明确授权审批事项、审 批部门和批准人等。
访谈,检查。安全主管,关键活动的批 准人,审批事项列表,审批文档。
9.
应针对系统变更、重要操作、物理访冋和系统接入等 事项建立审批程序,按照审批程序执行审批过程,对 重要活动建立逐级审批制度。
三级管理要求
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
安全
管理
机构
(-JL4£亠冈位
设置
1.
应设立信息安全管理工作的职能部门, 设立安全主管 人、安全管理各个方面的负责人岗位, 定义各负责人的 职责。
访谈,检查。安全主管,安全管理某方
匸U厶厶f宀rz ?—t»-JL4 AA^Trri/zK
27.
应组织相关人员对制定的安全管理制度进行论证和审 定。
28.
安全管理制度应通过正式、有效的方式发布。
29.
安全管理制度应注明发布范围, 并对收发文进行登记。
评审 和修 订
30.
信息安全领导小组应负责定期组织相关部门和相关人 员对安全管理制度体系的合理性和适用性进行审定。
访谈,检查。安全主管,安全管理制度 列表,评审记录。
记录.
44.
应对定期安全教育和培训进行书面规定,针对不同岗 位制定不同的培训计划,对信息安全基础知识、岗位 操作规程等进行培训。
45.
应对安全教育和培训的情况和结果进行记录并归档保 存。
应聘请信息安全专家作为常年的安全顾问,指导信息 安全建设,参与安全规划和安全评审等。
审核 和检 查
17.
安全管理员应负责定期进行安全检查,检查内容包括 系统日常运行、系统漏洞和数据备份等情况。
访谈,检查。安全主管,安全员,安全 检查记录。
18.
应由内部人员或上级单位定期进行全面安全检查,检 查内容包括现有安全技术措施的有效性、安全配置与 安全策略的一致性、安全管理制度的执行情况等。
37.
应取回各38.
应办理严格的调离手续,关键岗位人员离岗须承诺调 离后的保密义务后方可离开。
人员 考核
39.
应定期对各个岗位的人员进行安全技能及安全认知的 考核。
访谈。安全主管,人事工作人员。
40.
应对关键岗位的人员进行全面、严格的安全审查和技 能考核。
41.
应对考核结果进行记录并保存。
安全
意识
42.
应对各类人员进行安全意识教育、岗位技能培训和相 关安全技术培训。
访谈,检查。安全主管,安全员,系统 管理员,网络管理员,培训计划,培训
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
教育 和培 训
43.
应对安全责任和惩戒措施进行书面规定并告知相关人 员,对违反违背安全策略和规定的人员进行惩戒。
安全
管理
制度
管理
制度
21.
应制定信息安全工作的总体方针和安全策略,说明机 构安全工作的总体目标、范围、原则和安全框架等。
访谈,检查。安全主管,总体方针、政
尺&.LtL1、,.n工rt人尺&fTt/71、,./zK人AA? Tin牛r【
22.
应对安全管理活动中的各类管理内容建立安全管理制 度。
23.
应对要求管理人员或操作人员执行的日常管理操作建 立操作规程。
应严格规范人员录用过程,对被录用人的身份、背景、 专业资格和资质等进行审查,对其所具有的技术技能 进行考核。
34.
应签署保密协议。
35.
应从内部人员中选拔从事关键岗位的人员,并签署岗 位安全协议。
人员 离岗
36.
应严格规范人员离岗过程,及时终止离岗员工的所有 访问权限。
访谈,检查。安全主管,人事工作人员, 安全处理记录,保密承诺文档。
访谈,检查。安全主管,安全管理人员, 会议文件,会议记录,外联单位说明文 档。
、
13.
应加强与兄弟单位、公安机关、电信公司的合作与沟 通。
14.
应加强与供应商、业界专家、专业的安全公司、安全 组织的合作与沟通。
15.
应建立外联单位联系列表,包括外联单位名称、合作 内容、联系人和联系方式等信息。
16.
31.
应定期或不定期对安全管理制度进行检查和审定,对
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
存在不足或需要改进的安全管理制度进行修订。
人员
安全
管理
人员
录用
32.
应指定或授权专门的部门或人员负责人员录用。
访谈,检查。人事负责人,人事工作人 员,人员录用要求管理文档, 人员审查 文档或记录,考核文档 或记录,保密 协议。
10.
应定期审查审批事项, 及时更新需授权和审批的项目、
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
审批部门和审批人等信息。
11.
应记录审批过程并保存审批文档。
沟通 和合 作
12.
应加强各类管理人员之间、组织内部机构之间以及信 息安全职能部门内部的合作与沟通,定期或不定期召 开协调会议,共同协作处理信息安全问题。
19.
应制定安全检查表格实施安全检查,汇总安全检查数 据,形成安全检查报告, 并对安全检查结果进行通报。
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
20.
应制定安全审核和安全检查制度规范安全审核和安全 检查工作,定期按照程序进行安全审核和安全检查活 动。
2.
应设立系统管理人员、网络管理人员、安全管理人员岗 位,定义各个工作岗位的职 责。
3.
应成立指导和管理信息安全工作的委员会或领导小 组,其最高领导由单位主管领导委任或授权。
面的负责人,部门、冈位职责乂件。
4.
应制定文件明确安全管理机构各个部门和岗位的职 责、分工和技能要求。
人员 配备
5.
应配备一定数量的系统管理员、网络管理员、安全管 理员等。
策性文件和女全策略文件,女全官理制 度清单,操作规程。
24.
应形成由安全策略、管理制度、操作规程等构成的全 面的信息安全管理制度体系。
制定 和发 布
25.
应指定或授权专门的部门或人员负责安全管理制度的 制定。
访谈,检查。安全主管,制度制定和发 布要求管理文档,评审记录,安全管理 制度。
26.
安全管理制度应具有统一的格式,并进行版本控制。
访谈,检查。安全主管,人员配备要求 的相关文档,管理人员名单。
6.
应配备专职安全管理员,不可兼任。
7.
关键事务岗位应配备多人共同管理。
授权 和审 批
8.
应根据各个部门和岗位的职责明确授权审批事项、审 批部门和批准人等。
访谈,检查。安全主管,关键活动的批 准人,审批事项列表,审批文档。
9.
应针对系统变更、重要操作、物理访冋和系统接入等 事项建立审批程序,按照审批程序执行审批过程,对 重要活动建立逐级审批制度。
三级管理要求
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
安全
管理
机构
(-JL4£亠冈位
设置
1.
应设立信息安全管理工作的职能部门, 设立安全主管 人、安全管理各个方面的负责人岗位, 定义各负责人的 职责。
访谈,检查。安全主管,安全管理某方
匸U厶厶f宀rz ?—t»-JL4 AA^Trri/zK
27.
应组织相关人员对制定的安全管理制度进行论证和审 定。
28.
安全管理制度应通过正式、有效的方式发布。
29.
安全管理制度应注明发布范围, 并对收发文进行登记。
评审 和修 订
30.
信息安全领导小组应负责定期组织相关部门和相关人 员对安全管理制度体系的合理性和适用性进行审定。
访谈,检查。安全主管,安全管理制度 列表,评审记录。
记录.
44.
应对定期安全教育和培训进行书面规定,针对不同岗 位制定不同的培训计划,对信息安全基础知识、岗位 操作规程等进行培训。
45.
应对安全教育和培训的情况和结果进行记录并归档保 存。
应聘请信息安全专家作为常年的安全顾问,指导信息 安全建设,参与安全规划和安全评审等。
审核 和检 查
17.
安全管理员应负责定期进行安全检查,检查内容包括 系统日常运行、系统漏洞和数据备份等情况。
访谈,检查。安全主管,安全员,安全 检查记录。
18.
应由内部人员或上级单位定期进行全面安全检查,检 查内容包括现有安全技术措施的有效性、安全配置与 安全策略的一致性、安全管理制度的执行情况等。
37.
应取回各38.
应办理严格的调离手续,关键岗位人员离岗须承诺调 离后的保密义务后方可离开。
人员 考核
39.
应定期对各个岗位的人员进行安全技能及安全认知的 考核。
访谈。安全主管,人事工作人员。
40.
应对关键岗位的人员进行全面、严格的安全审查和技 能考核。
41.
应对考核结果进行记录并保存。
安全
意识
42.
应对各类人员进行安全意识教育、岗位技能培训和相 关安全技术培训。
访谈,检查。安全主管,安全员,系统 管理员,网络管理员,培训计划,培训
等级保护三级管理类测评控制点(S3A3G3)
类别
序号
测评内容
测评方法
结果记录
符合情况
Y
N
O
教育 和培 训
43.
应对安全责任和惩戒措施进行书面规定并告知相关人 员,对违反违背安全策略和规定的人员进行惩戒。
安全
管理
制度
管理
制度
21.
应制定信息安全工作的总体方针和安全策略,说明机 构安全工作的总体目标、范围、原则和安全框架等。
访谈,检查。安全主管,总体方针、政
尺&.LtL1、,.n工rt人尺&fTt/71、,./zK人AA? Tin牛r【
22.
应对安全管理活动中的各类管理内容建立安全管理制 度。
23.
应对要求管理人员或操作人员执行的日常管理操作建 立操作规程。